Werken met analyseregels voor anomaliedetectie in Microsoft Sentinel

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Belangrijk

Aangepaste detecties is nu de beste manier om nieuwe regels te maken in Microsoft Sentinel SIEM-Microsoft Defender XDR. Met aangepaste detecties kunt u de opnamekosten verlagen, onbeperkte realtime detecties krijgen en profiteren van naadloze integratie met Defender XDR gegevens, functies en herstelacties met automatische entiteitstoewijzing. Lees dit blog voor meer informatie.

de aanpasbare anomaliefunctie van Microsoft Sentinel biedt ingebouwde anomaliesjablonen voor onmiddellijke waarde. Deze anomaliesjablonen zijn ontwikkeld om robuust te zijn door gebruik te maken van duizenden gegevensbronnen en miljoenen gebeurtenissen, maar met deze functie kunt u ook eenvoudig drempelwaarden en parameters voor de afwijkingen wijzigen binnen de gebruikersinterface. Anomalieregels zijn standaard ingeschakeld of geactiveerd, zodat er out-of-the-box afwijkingen worden gegenereerd. U kunt deze afwijkingen vinden en opvragen in de tabel Anomalieën in de sectie Logboeken .

Belangrijk

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.

Aanpasbare sjablonen voor anomalieregels weergeven

U kunt nu anomalieregels vinden die in een raster worden weergegeven op het tabblad Afwijkingen op de pagina Analyse .

  1. Voor gebruikers van de Microsoft Defender-portal selecteert u Microsoft Sentinel > Configuration > Analytics in het navigatiemenu Microsoft Defender.

    Voor gebruikers van Microsoft Sentinel in de Azure Portal selecteert u Analyse in het navigatiemenu Microsoft Sentinel.

  2. Selecteer op de pagina Analyse het tabblad Afwijkingen .

  3. Als u de lijst wilt filteren op een of meer van de volgende criteria, selecteert u Filter toevoegen en kiest u dienovereenkomstig.

    • Status : of de regel is ingeschakeld of uitgeschakeld.

    • Tactieken : de MITRE ATT&CK-frameworktactieken die worden gedekt door de anomalie.

    • Technieken : de MITRE ATT&CK-frameworktechnieken die worden gedekt door de anomalie.

    • Gegevensbronnen : het type logboeken dat moet worden opgenomen en geanalyseerd om de anomalie te definiëren.

  4. Selecteer een regel en bekijk de volgende informatie in het detailvenster:

    • In de beschrijving wordt uitgelegd hoe de anomalie werkt en welke gegevens nodig zijn.

    • Tactieken en technieken zijn de MITRE ATT&CK-frameworktactieken en technieken die worden gedekt door de anomalie.

    • Parameters zijn de configureerbare kenmerken voor de anomalie.

    • Drempelwaarde is een configureerbare waarde die aangeeft in welke mate een gebeurtenis ongebruikelijk moet zijn voordat een anomalie wordt gemaakt.

    • Regelfrequentie is de tijd tussen logboekverwerkingstaken die de afwijkingen vinden.

    • De regelstatus geeft aan of de regel wordt uitgevoerd in de modus Productie of Flighting (fasering) wanneer deze is ingeschakeld.

    • Anomalieversie toont de versie van de sjabloon die wordt gebruikt door een regel. Als u de versie wilt wijzigen die wordt gebruikt door een regel die al actief is, moet u de regel opnieuw maken.

De regels die worden geleverd met Microsoft Sentinel out-of-the-box kunnen niet worden bewerkt of verwijderd. Als u een regel wilt aanpassen, moet u eerst een duplicaat van de regel maken en vervolgens het duplicaat aanpassen. Zie de volledige instructies.

Opmerking

Waarom is er een knop Bewerken als de regel niet kan worden bewerkt?

Hoewel u de configuratie van een standaard anomalieregel niet kunt wijzigen, kunt u twee dingen doen:

  1. U kunt de regelstatus van de regel tussen Productie en Flighting schakelen.

  2. U kunt feedback verzenden naar Microsoft over uw ervaring met aanpasbare afwijkingen.

De kwaliteit van afwijkingen beoordelen

U kunt zien hoe goed een anomalieregel presteert door een steekproef te bekijken van de afwijkingen die zijn gemaakt door een regel in de afgelopen 24 uur.

  1. Voor gebruikers van Microsoft Sentinel in de Azure Portal selecteert u Analyse in het navigatiemenu Microsoft Sentinel.

    Voor gebruikers van de Microsoft Defender-portal selecteert u Microsoft Sentinel > Configuration > Analytics in het navigatiemenu Microsoft Defender.

  2. Selecteer op de pagina Analyse het tabblad Afwijkingen .

  3. Selecteer de regel die u wilt beoordelen en kopieer de bijbehorende id van de bovenkant van het detailvenster naar rechts.

  4. Selecteer logboeken in het navigatiemenu Microsoft Sentinel.

  5. Als een galerie Query's boven aan de bovenkant wordt weergegeven, sluit u deze.

  6. Selecteer het tabblad Tabellen in het linkerdeelvenster van de pagina Logboeken .

  7. Stel het filter Tijdsbereik in op Afgelopen 24 uur.

  8. Kopieer de kusto-query hieronder en plak deze in het queryvenster (waar 'Typ uw query hier of...') staat:

    Anomalies 
| where RuleId contains "<RuleId>"

    Plak de regel-id die u hierboven hebt gekopieerd in plaats van <RuleId> tussen de aanhalingstekens.

  9. Selecteer Uitvoeren.

Wanneer u resultaten hebt, kunt u beginnen met het beoordelen van de kwaliteit van de afwijkingen. Als u geen resultaten hebt, kunt u proberen het tijdsbereik te vergroten.

Vouw de resultaten voor elke anomalie uit en vouw vervolgens het veld AnomalyReasons uit. Dit zal je vertellen waarom de anomalie is afgevuurd.

De 'redelijkheid' of 'nuttigheid' van een anomalie kan afhankelijk zijn van de omstandigheden van uw omgeving, maar een veelvoorkomende reden voor een anomalieregel om te veel afwijkingen te produceren, is dat de drempelwaarde te laag is.

Anomalieregels afstemmen

Hoewel anomalieregels zijn ontworpen voor maximale effectiviteit, is elke situatie uniek en moeten anomalieregels soms worden afgestemd.

Omdat u een oorspronkelijke actieve regel niet kunt bewerken, moet u eerst een actieve anomalieregel dupliceren en vervolgens de kopie aanpassen.

De oorspronkelijke anomalieregel blijft actief totdat u deze uitschakelt of verwijdert.

Dit is standaard, zodat u de resultaten die door de oorspronkelijke configuratie zijn gegenereerd, kunt vergelijken met de nieuwe. Dubbele regels zijn standaard uitgeschakeld. U kunt slechts één aangepaste kopie maken van een bepaalde anomalieregel. Pogingen om een tweede kopie te maken, mislukken.

  1. Als u de configuratie van een anomalieregel wilt wijzigen, selecteert u de regel in de lijst op het tabblad Afwijkingen .

  2. Klik met de rechtermuisknop op een willekeurige plaats in de rij van de regel of klik met de linkermuisknop op het beletselteken (...) aan het einde van de rij en selecteer dupliceren in het contextmenu.

    Er wordt een nieuwe regel weergegeven in de lijst, met de volgende kenmerken:

    • De regelnaam is hetzelfde als de oorspronkelijke, met ' - Aangepast' toegevoegd aan het einde.
    • De status van de regel is Uitgeschakeld.
    • De FLGT-badge wordt aan het begin van de rij weergegeven om aan te geven dat de regel zich in de flighting-modus bevindt.

  3. Als u deze regel wilt aanpassen, selecteert u de regel en selecteert u Bewerken in het detailvenster of in het contextmenu van de regel.

  4. De regel wordt geopend in de wizard Analyseregel. Hier kunt u de parameters van de regel en de drempelwaarde wijzigen. De parameters die kunnen worden gewijzigd, variëren per anomalietype en algoritme.

    U kunt een voorbeeld van de resultaten van uw wijzigingen bekijken in het voorbeeldvenster Resultaten. Selecteer een anomalie-id in de preview van de resultaten om te zien waarom het ML-model die anomalie identificeert.

  5. Schakel de aangepaste regel in om resultaten te genereren. Voor sommige wijzigingen moet de regel mogelijk opnieuw worden uitgevoerd, dus u moet wachten tot deze is voltooid en terugkomen om de resultaten op de logboekpagina te controleren. De aangepaste anomalieregel wordt standaard uitgevoerd in de flightingmodus (testmodus). De oorspronkelijke regel wordt standaard uitgevoerd in de productiemodus .

  6. Als u de resultaten wilt vergelijken, gaat u terug naar de tabel Afwijkingen in logboeken om de nieuwe regel te beoordelen zoals voorheen. Gebruik in plaats daarvan alleen de volgende query om te zoeken naar afwijkingen die zijn gegenereerd door de oorspronkelijke regel en de dubbele regel.

    Anomalies 
| where AnomalyTemplateId contains "<RuleId>"

    Plak de regel-id die u hebt gekopieerd uit de oorspronkelijke regel in plaats van <RuleId> tussen de aanhalingstekens. De waarde van AnomalyTemplateId in zowel de oorspronkelijke als dubbele regel is identiek aan de waarde van RuleId in de oorspronkelijke regel.

Als u tevreden bent met de resultaten voor de aangepaste regel, gaat u terug naar het tabblad Afwijkingen , selecteert u de aangepaste regel, selecteert u de knop Bewerken en schakelt u deze op het tabblad Algemeen over van Flighting naar Production. De oorspronkelijke regel wordt automatisch gewijzigd in Flighting , omdat u niet tegelijkertijd twee versies van dezelfde regel in productie kunt hebben.

Volgende stappen

In dit document hebt u geleerd hoe u kunt werken met aanpasbare analyseregels voor anomaliedetectie in Microsoft Sentinel.

  • Last updated on